谷歌为第三方来源 APK 引入 24 小时冷却期
从 2026 年 9 月开始,谷歌将为外部来源的应用推出开发者验证计划。开发者需要验证身份、提供 APK 签名密钥,并支付 25 美元费用。未经验证的应用只能通过开发者模式下的延长流程访问,该流程在激活后强制要求 24 小时延迟。
这一延迟旨在打击社会工程攻击:攻击者常常通过声称能防止威胁来诱骗用户紧急安装恶意软件。在 24 小时内,用户可以仔细核实信息,避免仓促决定。谷歌强调,验证仅限于识别开发者身份,并不会扫描 APK 内容。如果检测到恶意活动,已验证的开发者身份将被吊销。
延长安装流程的工作原理
安装未经验证 APK 的流程已简化,只需激活开发者模式,但带有计时器:
- 在 Android 设置中激活开发者模式。
- 启动 24 小时倒计时。
- 等待期结束后,即可安装 APK。
这一变更仅影响绕过 Google Play 的侧载应用。已验证开发者可跳过延迟,从而简化合法分发。
区域 rollout 与开发者反弹
该系统将于 2026 年 9 月在巴西、新加坡、印度尼西亚和泰国启动,这些地区诈骗和假账户问题严重。全球 rollout 计划在 2027 年进行。验证可能存在区域差异,但尚未公布细节。
开发者表达了担忧:
- 身份检查和支付限制了受制裁国家的开发者。
- 为开源项目和独立创作者设置了更高障碍。
- 可能拖累替代应用商店的创新。
谷歌否认存在地缘政治偏见,强调一切都是为了安全。
对开发者的技术影响
中高级 Android 开发者需要适应这一新格局。以下是应对措施:
- 提前准备验证:收集身份文件并从密钥库导出签名密钥。
- 更新文档,告知用户你的已验证开发者身份。
- 考虑转向 Google Play 以规避延迟。
对于通过 MDM(移动设备管理)进行的企业部署,延迟可能需要调整策略。在模拟器上启用开发者模式测试计时器行为。
长期来看,这将通过减少恶意 APK 风险,提升 Android 生态系统的信任。
关键要点
- 仅对开发者模式下未经验证的 APK 实施 24 小时延迟。
- 开发者验证:身份 + 签名密钥 + 25 美元,无代码扫描。
- 2026 年在亚洲和拉丁美洲的 4 个国家启动,2027 年全球推行。
- 批评针对受制裁地区的障碍。
- 目标:阻止社会工程攻击,而不进行应用扫描。
— Editorial Team
暂无评论。